Google、中国関連「UNC2814」の世界規模なサイバー諜報活動を阻止

　Googleは、Google Threat Intelligence Group（GTIG）とMandiantが連携し、中国との関係が疑われる脅威アクター「UNC2814」によるグローバルなサイバー諜報活動を阻止したと発表した。対象は通信事業者や政府機関で、これまでに42カ国53組織で侵入を確認、20カ国以上でも標的化の疑いがあるという。

【その他の画像】

●Google スプレッドシートを利用した新型マルウェアを大規模展開

　UNC2814は少なくとも2017年から活動を続けてきたとされる。GTIGは約10年にわたり同グループを追跡しており、以前米国の通信企業を攻撃した中国系攻撃グループ「Salt Typhoon」との関連は確認していないと説明する。独自の戦術やインフラを使い、国際的な通信分野を中心に活動してきた点に特徴がある。

　今回の実態解明は、2025年後半に実施されたMandiantの調査を契機に進展した。調査の過程で、新型バックドア「GRIDTIDE」の存在が判明した。C言語で開発されたこのマルウェアは、「Google スプレッドシート」をコマンド＆コントロール（C2）基盤として利用する仕組みを持つ。攻撃通信を正規のクラウドAPI通信に見せかけることで、検知を回避していた。

　Googleはこれは自社製品の脆弱（ぜいじゃく）性を突いたものではなく、正規機能の悪用によるものだと強調する。攻撃者が自前のサーバではなく、広く利用されるSaaSをC2基盤に転用する手法は、近年増加している傾向の一例といえる。

　Mandiantは調査中、「CentOS」サーバで不審なプロセスを検知した。/var/tmp/xaptというバイナリがroot権限でシェルを起動し、権限昇格を確認するコマンドを実行していた。侵入後、攻撃者はSSHや既存の管理ツールで横展開し、永続化のため「systemd」サービスを作成した。VPNソフト「SoftEther VPN Bridge」を設置し、外部IPとの暗号化通信を確立していた。

　GRIDTIDEは実行時、ホスト情報を収集して攻撃者管理下のスプレッドシートに送信する。命令はセル単位で管理され、シェル実行、ファイル送受信などを可能にする設計となっていた。データはURLセーフ形式のBase64で符号化され、通信の秘匿性を高めていた。

　被害組織では氏名、電話番号、生年月日、国民識別番号、有権者ID番号などの個人情報が保存された端末も確認された。GTIGは、通信記録やメッセージ監視を通じて特定人物の追跡を目的とした諜報活動の一環である可能性を指摘する。ただし今回の調査では実際の情報持ち出しを直接確認したわけではないとしている。

　対抗措置として、Googleは攻撃者が管理していた全てのGoogle Cloudプロジェクトを停止し、関連アカウントやAPIアクセスを無効化した。併せて、過去および現在の関連ドメインを無効化し、インフラを解体した。被害組織には正式に通知し、対応を支援している。2023年以降に使用されたインフラに関するセキュリティ侵害インジケーター（IoC）を公開し、各組織が自社環境を点検できるようにした。

　GTIGは70カ国以上に影響が及ぶ可能性がある今回のキャンペーンは長年の準備の成果であり、短期間で再構築することは容易ではないと分析する。UNC2814が活動再開を試みる可能性も否定できず、継続的な監視が必要だとしている。